Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girecek. Güvenlik alanındaki uzmanlar tarafınca 2016’nın ikinci çeyreğinden beri tartışıtılmakta olan bu yönergenin ne benzer biçimde yararları olacağı da merak mevzusu. Peki GDPR nedir? Neticeleri neler olacak? İşletmelere getirmiş olduğu kazanımlar nedir?
Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş durumda. Bir başka deyişle, yönergenin kullanıcılara yönelik tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili şahıs” olarak adlandırılmaktadır. Siz, ben ve öteki hepimiz, kişisel verilerimizin sahipleriyiz.
Daha önceki gizlilik yönergelerinde odak noktası, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler yardımıyla kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği benzer biçimde kurallar belirlenmiş durumdaydı. GDPR’da ise odak noktası direkt kullanıcının kendisinin, kişisel verilerine ilişkin hangi haklara haiz olacağı kati bir çizgi ile çizilmiş. Kişisel verileri işleyen hepimiz, ilgili kişinin haklarını gözetlediğinden güvenli olmak zorunda. Dolayısıyla GDPR ile artık madalyonun öteki yüzüne geçildi diyebiliriz.
GDPR ile beraber kişisel veri tanımı da revize edilerek tekrardan yapılmış oldu. Artık, en küçük bir veri dahi direkt, yaşayan birine aitse, bu veri artık kişsel tanımlanabilir data (personally identifiable information – PII) olarak ifade ediliyor. Bu sayede veri madenciliği ve Big Data uygulamaları ile uğraşanların da değişik kaynaklardan veri paylaşımı ya da birleştirmek benzer biçimde mevzularda büyük bir mücadeleye gireceği öngörülüyor.
İlgili kişiye ilişkin bilgilerin toplanması, saklanması ve işlenmesi için, ilk olarak hangi amaç için ne maksatla bu bilgilerin ele alınacağını açık bir halde bildirmek gerekiyor. Eğer amaç değişirse ilgili kişiden tekrardan muvaffakiyet almak gerekiyor. Buradan hareketle, Avrupa’daki tüm firmaların kişisel veri ile ilgili işlem yapmadan ilkin, bu verileri iyi mi kullanacağıyla ilgili sıkı bir araştırma yapması gerekecek.
Her ne kadar piyasada, firmalara kişisel verilerin işlenmesiyle ilgili destek olacak, verilerin şifrelenmesi ve doğru bir halde tasnif edilmesi işlemlerini otomatikman gerçekleştirebilen çeşitli teknik araçlar bulunsa da GDPR uyumlu olmak için lüzumlu işlemler hususunda uzman kişilerden destek almak da bir başka mühim zorunluluk. Bu aşamada bir tek teknik araçların kullanılması kafi olmayıp, yetkili kişiler tarafınca denetim de bir öteki mühim mevzu.
Rutin olarak meydana getirilen işlemler, güvenlik politikaları ve işletmenin hedeflerini revize etmek gerek. Bunun haricinde yöneticilerin, çalışanların bu mevzuda eğitim almalarını da sağlaması lazım. Tüm bunların haricinde, yapılacak ve meydana getirilen her işlemin uygun bir halde belgelendirilmesi gerek. Bu belgelendirme işleminin de GDPR uyumlu olması, kullananların verilerinin iyi mi işleneceğini açık bir halde bildirmesi gerek.
Her ne kadar GDPR’a bir tek yüzeysel olarak ele almış olsam da yeni yönergelerin firmaların çalışmalarında büyük bir değişim oluşturacağını düşünüyorum. Bu yazıda, GDPR uyumlu olmayan firmaların ne benzer biçimde yaptırımlarla karşılaşacağına değinmedim. Sadece ileriki zamanlarda bu mevzuyu da yine masaya yatırmayı düşünüyorum.